Zarządzanie uwierzytelnianiem klucza dostępu dla wystąpienia usługi aplikacja systemu Azure Configuration
Każde żądanie do zasobu konfiguracji aplikacja systemu Azure musi być uwierzytelnione. Domyślnie żądania mogą być uwierzytelniane przy użyciu poświadczeń firmy Microsoft Entra lub przy użyciu klucza dostępu. Spośród tych dwóch typów schematów uwierzytelniania identyfikator Entra firmy Microsoft zapewnia lepsze zabezpieczenia i łatwość korzystania z kluczy dostępu i jest zalecana przez firmę Microsoft. Aby wymagać od klientów używania identyfikatora Entra firmy Microsoft do uwierzytelniania żądań, możesz wyłączyć użycie kluczy dostępu dla zasobu aplikacja systemu Azure Configuration. Jeśli chcesz użyć kluczy dostępu do uwierzytelniania żądania, zaleca się obracanie kluczy dostępu co 90 dni w celu zwiększenia bezpieczeństwa.
Włączanie uwierzytelniania za pomocą klucza dostępu
Klucz dostępu jest domyślnie włączony. W kodzie można używać kluczy dostępu do uwierzytelniania żądań.
Ostrzeżenie
Jeśli klienci uzyskują obecnie dostęp do danych w zasobie aplikacja systemu Azure Configuration przy użyciu kluczy dostępu, firma Microsoft zaleca przeprowadzenie migracji tych klientów do identyfikatora Entra firmy Microsoft przed wyłączeniem uwierzytelniania klucza dostępu.
Aby zezwolić/nie zezwalać na uwierzytelnianie klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Ustaw przełącznik Włącz klucze dostępu na wartość Włączone.
Sprawdź, czy włączono uwierzytelnianie za pomocą klucza dostępu
Aby sprawdzić, czy jest włączone uwierzytelnianie za pomocą klucza dostępu, sprawdź, czy możesz uzyskać listę kluczy dostępu do odczytu i zapisu. Ta lista będzie istnieć tylko wtedy, gdy jest włączone uwierzytelnianie za pomocą klucza dostępu.
Aby sprawdzić, czy dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal włączono uwierzytelnianie klucza dostępu, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Sprawdź, czy są wyświetlane klucze dostępu i czy jest włączony stan włączonego włączania kluczy dostępu.
Wyłączanie uwierzytelniania za pomocą klucza dostępu
Wyłączenie uwierzytelniania klucza dostępu spowoduje usunięcie wszystkich kluczy dostępu. Jeśli jakiekolwiek uruchomione aplikacje używają kluczy dostępu do uwierzytelniania, rozpocznie się niepowodzenie po wyłączeniu uwierzytelniania klucza dostępu. Pomyślnie powiedzie się tylko żądania uwierzytelnione przy użyciu identyfikatora Entra firmy Microsoft. Aby uzyskać więcej informacji na temat korzystania z identyfikatora Entra firmy Microsoft, zobacz Autoryzowanie dostępu do konfiguracji aplikacja systemu Azure przy użyciu identyfikatora Entra firmy Microsoft. Ponowne włączenie uwierzytelniania za pomocą klucza dostępu spowoduje wygenerowanie nowego zestawu kluczy dostępu, a wszystkie aplikacje próbujące użyć starych kluczy dostępu nadal kończą się niepowodzeniem.
Aby nie zezwalać na uwierzytelnianie klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Ustaw przełącznik Włącz klucze dostępu na wartość Wyłączone.
Sprawdź, czy uwierzytelnianie klucza dostępu jest wyłączone
Aby sprawdzić, czy uwierzytelnianie klucza dostępu nie jest już dozwolone, można wysłać żądanie, aby wyświetlić listę kluczy dostępu dla zasobu aplikacja systemu Azure Configuration. Jeśli uwierzytelnianie klucza dostępu jest wyłączone, nie będzie żadnych kluczy dostępu, a operacja listy zwróci pustą listę.
Aby sprawdzić, czy uwierzytelnianie klucza dostępu jest wyłączone dla zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do zasobu konfiguracji aplikacja systemu Azure w witrynie Azure Portal.
Znajdź ustawienie Ustawienia dostępu w obszarze Ustawienia.
Sprawdź, czy nie są wyświetlane klucze dostępu, a włączony stan Włącz klucze dostępu jest wyłączony.
Uprawnienia do zezwalania na uwierzytelnianie za pomocą klucza dostępu lub ich niedozwolonego
Aby zmodyfikować stan uwierzytelniania klucza dostępu dla zasobu konfiguracji aplikacja systemu Azure, użytkownik musi mieć uprawnienia do tworzenia zasobów konfiguracji aplikacja systemu Azure i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.AppConfiguration/configurationStores/write lub Microsoft.AppConfiguration/configurationStores/* . Wbudowane role z tą akcją obejmują:
- Rola właściciela w usłudze Azure Resource Manager
- Rola współautora w usłudze Azure Resource Manager
Te role nie zapewniają dostępu do danych w zasobie konfiguracji aplikacja systemu Azure za pośrednictwem identyfikatora Entra firmy Microsoft. Obejmują one jednak uprawnienie Microsoft.AppConfiguration/configurationStores/listKeys/action , które przyznaje dostęp do kluczy dostępu zasobu. Za pomocą tego uprawnienia użytkownik może użyć kluczy dostępu, aby uzyskać dostęp do wszystkich danych w zasobie.
Przypisania ról muszą być ograniczone do poziomu zasobu aplikacja systemu Azure Configuration lub nowszego, aby umożliwić użytkownikowi zezwolenie na uwierzytelnianie klucza dostępu dla zasobu lub uniemożliwienie mu dostępu. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.
Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych użytkowników, którzy wymagają możliwości utworzenia zasobu usługi App Configuration lub zaktualizowania jego właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.
Uwaga
Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć zasoby usługi App Configuration i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Uwaga
Gdy uwierzytelnianie klucza dostępu jest wyłączone, a tryb uwierzytelniania usługi ARM magazynu app Configuration jest lokalny, możliwość odczytu/zapisu wartości kluczy w szablonie usługi ARM również zostanie wyłączona. Dzieje się tak, ponieważ dostęp do zasobu Microsoft.AppConfiguration/configurationStores/keyValues używanego w szablonach usługi ARM wymaga uwierzytelniania klucza dostępu za pomocą lokalnego trybu uwierzytelniania usługi ARM. Zaleca się używanie trybu uwierzytelniania z przekazywaniem usługi ARM. Aby uzyskać więcej informacji, zobacz Omówienie wdrażania.
Obracanie klucza dostępu
Firma Microsoft zaleca okresowe obracanie kluczy dostępu w celu zapewnienia bezpieczeństwa zasobu. Jeśli to możliwe, użyj usługi Azure Key Vault do zarządzania kluczami dostępu. Jeśli nie używasz usługi Key Vault, musisz ręcznie obrócić klucze.
Każdy zasób aplikacja systemu Azure Konfiguracja ma dwa klucze dostępu umożliwiające rotację wpisów tajnych. Jest to środek ostrożności, który umożliwia regularne zmienianie kluczy, które mogą uzyskiwać dostęp do usługi, ochronę prywatności zasobu w przypadku wycieku klucza. Zalecany cykl rotacji wynosi 90 dni.
Klucze można obracać przy użyciu następującej procedury:
Jeśli używasz obu kluczy w środowisku produkcyjnym, zmień kod tak, aby używany był tylko jeden klucz dostępu. W tym przykładzie załóżmy, że zdecydujesz się nadal używać klucza podstawowego sklepu. Musisz mieć tylko jeden klucz w kodzie, ponieważ podczas ponownego generowania klucza pomocniczego starsza wersja tego klucza przestanie działać natychmiast, powodując, że klienci używający starszego klucza mogą uzyskać błędy odmowy dostępu 401.
Gdy klucz podstawowy jest jedynym kluczem używanym, można wygenerować ponownie klucz pomocniczy. Przejdź do strony zasobu w witrynie Azure Portal, otwórz menu Ustawienia> dostępu i wybierz pozycję Wygeneruj ponownie w obszarze Klucz pomocniczy.
Następnie zaktualizuj kod, aby używał nowo wygenerowanego klucza pomocniczego. Pomaga to mieć dzienniki lub dostępność w celu sprawdzenia, czy użytkownicy klucza pomyślnie zamienili się przy użyciu klucza podstawowego na klucz pomocniczy przed kontynuowaniem.
Teraz możesz ponownie wygenerować klucz podstawowy przy użyciu tego samego procesu.
Na koniec zaktualizuj kod, aby używał nowego klucza podstawowego.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla